你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Entity Query Templates - Get

获取实体查询。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entityQueryTemplates/{entityQueryTemplateId}?api-version=2022-07-01-preview

URI 参数

Name In Required Type Description
entityQueryTemplateId
path True
  • string

实体查询模板 ID

resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

workspaceName
path True
  • string

工作区的名称。

api-version
query True
  • string

要用于此操作的 API 版本。

响应

Name Type Description
200 OK EntityQueryTemplate:

确定

Other Status Codes

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Get an Activity entity query template.

Sample Request

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueryTemplates/07da3cc8-c8ad-4710-a44e-334cdcb7882b?api-version=2022-07-01-preview

Sample Response

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueryTemplates/07da3cc8-c8ad-4710-a44e-334cdcb7882b",
  "name": "07da3cc8-c8ad-4710-a44e-334cdcb7882b",
  "type": "Microsoft.SecurityInsights/entityQueryTemplate",
  "kind": "Activity",
  "properties": {
    "title": "An account was deleted on this host",
    "content": "On '{{Computer}}' the account '{{TargetAccount}}' was deleted by '{{AddedBy}}'",
    "description": "Account deleted on host",
    "queryDefinitions": {
      "query": "let GetAccountActions = (v_Host_Name:string, v_Host_NTDomain:string, v_Host_DnsDomain:string, v_Host_AzureID:string, v_Host_OMSAgentID:string){\nSecurityEvent\n| where EventID in (4725, 4726, 4767, 4720, 4722, 4723, 4724)\n// parsing for Host to handle variety of conventions coming from data\n| extend Host_HostName = case(\nComputer has '@', tostring(split(Computer, '@')[0]),\nComputer has '\\\\', tostring(split(Computer, '\\\\')[1]),\nComputer has '.', tostring(split(Computer, '.')[0]),\nComputer\n)\n| extend Host_NTDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', tostring(split(Computer, '.')[-2]), \nComputer\n)\n| extend Host_DnsDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', strcat_array(array_slice(split(Computer,'.'),-2,-1),'.'), \nComputer\n)\n| where (Host_HostName =~ v_Host_Name and Host_NTDomain =~ v_Host_NTDomain) \nor (Host_HostName =~ v_Host_Name and Host_DnsDomain =~ v_Host_DnsDomain) \nor v_Host_AzureID =~ _ResourceId \nor v_Host_OMSAgentID == SourceComputerId\n| project TimeGenerated, EventID, Activity, Computer, TargetAccount, TargetUserName, TargetDomainName, TargetSid, SubjectUserName, SubjectUserSid, _ResourceId, SourceComputerId\n| extend AddedBy = SubjectUserName\n// Future support for Activities\n| extend timestamp = TimeGenerated, HostCustomEntity = Computer, AccountCustomEntity = TargetAccount\n};\nGetAccountActions('{{Host_HostName}}', '{{Host_NTDomain}}', '{{Host_DnsDomain}}', '{{Host_AzureID}}', '{{Host_OMSAgentID}}')\n \n| where EventID == 4726 "
    },
    "inputEntityType": "Host",
    "requiredInputFieldsSets": [
      [
        "Host_HostName",
        "Host_NTDomain"
      ],
      [
        "Host_HostName",
        "Host_DnsDomain"
      ],
      [
        "Host_AzureID"
      ],
      [
        "Host_OMSAgentID"
      ]
    ],
    "entitiesFilter": {
      "Host_OsFamily": [
        "Windows"
      ]
    },
    "dataTypes": [
      {
        "dataType": "AuditLogs"
      },
      {
        "dataType": "SecurityEvent"
      }
    ]
  }
}

定义

ActivityEntityQueryTemplate

表示活动实体查询。

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识的类型。

DataTypeDefinitions

数据类型定义

EntityQueryTemplateKind

实体查询模板的类型。

EntityType

查询的源实体的类型

QueryDefinitions

活动查询定义

systemData

与创建和上次修改资源相关的元数据。

ActivityEntityQueryTemplate

表示活动实体查询。

Name Type Description
id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • Activity

实体查询模板类型

name
  • string

资源的名称

properties.content
  • string

要显示在时间线中的实体查询内容

properties.dataTypes

给定实体查询模板所需的数据类型列表

properties.description
  • string

实体查询说明

properties.entitiesFilter
  • object

查询仅适用于与所有筛选器匹配的实体

properties.inputEntityType

查询的源实体的类型

properties.queryDefinitions

活动查询定义

properties.requiredInputFieldsSets
  • array[]

运行查询所需的源实体字段列表

properties.title
  • string

实体查询标题

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

CloudError

错误响应结构。

Name Type Description
error

错误数据

CloudErrorBody

错误详细信息。

Name Type Description
code
  • string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message
  • string

描述错误的消息,旨在适合在用户界面中显示。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

DataTypeDefinitions

数据类型定义

Name Type Description
dataType
  • string

数据类型名称

EntityQueryTemplateKind

实体查询模板的类型。

Name Type Description
Activity
  • string

EntityType

查询的源实体的类型

Name Type Description
Account
  • string

实体表示系统中的帐户。

AzureResource
  • string

实体表示系统中的 Azure 资源。

CloudApplication
  • string

实体表示系统中的云应用程序。

DNS
  • string

实体表示系统中的 dns。

File
  • string

实体表示系统中的文件。

FileHash
  • string

实体表示系统中的文件哈希。

Host
  • string

实体表示系统中的主机。

HuntingBookmark
  • string

实体表示系统中的 HuntingBookmark。

IP
  • string

实体表示系统中的 IP。

IoTDevice
  • string

实体表示系统中的 IoT 设备。

MailCluster
  • string

实体表示系统中的邮件群集。

MailMessage
  • string

实体表示系统中的邮件。

Mailbox
  • string

实体表示系统中的邮箱。

Malware
  • string

实体表示系统中的恶意软件。

Nic
  • string

实体表示系统中的网络接口。

Process
  • string

实体表示系统中的进程。

RegistryKey
  • string

实体表示系统中的注册表项。

RegistryValue
  • string

实体表示系统中的注册表值。

SecurityAlert
  • string

实体表示系统中的安全警报。

SecurityGroup
  • string

实体表示系统中的安全组。

SubmissionMail
  • string

实体表示系统中的提交邮件。

URL
  • string

实体表示系统中的 URL。

QueryDefinitions

活动查询定义

Name Type Description
query
  • string

在给定实体上运行的活动查询

summarizeBy
  • string

我们要汇总时间线结果的维度,这是逗号分隔的列表

systemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。